INTERNET 


Virussen 


Onkruid verga 


Het ziet er naar uit dat we binnenkort ook een Stevaert nodig 
hebben om aan onze vírtuele verkeersveiligheid te timmeren … 
Het internet lijkt namelijk wel een broeinest geworden 

van spammers, hackers en niet in het minst ook… 

virussen! Wie zijn ze, wat doen ze en — vooral — 

hoe kan je je ertegen beschermen? 


Ga, en vermenigvuldig u! 


Ontdaan van alle geheimzinnigheid schiet er 
van een typisch computervirus weinig meer 
over dan een klein programmaatje dat er voor- 
al op gericht is zichzelf zo snel mogelijk te ver- 
menigvuldigen. In principe heeft zo’n virus 
daarbij de hulp nodig van een ander pro- 
gramma(bestand), bij voorkeur eentje dat de 
gebruiker geregeld opstart. De viruscode hecht 
zich dan aan dat legitieme programma en zo- 
dra de gebruiker dat uitvoert, wordt meteen 
ook het virus mee opgestart en in het geheu- 
gen geladen. Van daaruit ligt het dan op vin- 
kenslag en probeert het nog meer program- 
mabestanden te infecteren. Als je het kader- 
stukje doorneemt, heb je echter al snel door 
dat virusmakers erg inventief kunnen zijn als 
het eropaan komt geschikte slachtoffers te vin- 
den voor hun virale infecties. 

Sommige virussen, de zogenaamde wormen, 
hebben strikt genomen zelfs geen ander be- 
stand nodig om zichzelf te kunnen versprei- 


Eg Naamloos bericht - Microsoft Word 


Bestand Bewerken Beeld Invoegen Opmaak Extra Tabel 


„Asa Sày es o- 


den. Die maken gewoonlijk dankbaar gebruik 
van e-mail om zich van de ene naar de ande- 
re computer te verplaatsen. Heel vaak werken 
die volgens het principe van een kettingbrief: 
zo’n mailworm komt toe bij een gebruiker 
waar hij ongemerkt zijn adresboek uitleest en 
zichzelf vervolgens doormailt naar al die mail- 
boxen. Daar gebeurt natuurlijk weer hetzelf- 
de en op die manier begrijp je dat zo’n worm 
zich exponentieel kan vermenigvuldigen en 
uiteindelijk zelfs hele netwerken en delen van 
het internet lam kan leggen! 

Hoaxes (letterlijk: flauwe grappen) zijn ook een 
soort worm. Dat zijn e-mailberichtjes die je om 
de haverklap toegestuurd krijgt en waarin je op 
indringende wijze gewaarschuwd wordt voor 
één of ander nieuw supervirus. Vast onderdeel 
is de vraag om dit bericht zo snel mogelijk naar 
iedereen uit je adresboek door te sturen. Zo'n 
bericht is bijna altijd vals, maar het krijgt wel 
zelf de allures van een worm als iedere ont- 
vanger inderdaad op die vraag zou ingaan! Niet 
doen dus! Een heel populair exemplaar is bij- 


Venster Help 
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Onderwerp: 


FW: Nieuw sulfnbk-VIRUS! 


Het is mogelijk dat je computer besmet is met een virus dat erop geprogrammeerd is om actief te worden gemaakt. 
Door de ‘activeer vertraging’ die er in gebouwd zit, wordt het niet ontdekt door o.a. Mcafee en Norton. Niemand 
weet hoe lang het virus al circuleert. mogelijk al enkele maanden. Als het virus geactiveerd wordt, verwijdert het alle 
bestanden en mappen van de harde schijf. Het virus verspreidt zich via e-mail en infiltreert het dossier 
‘c:/windows/command'. Er zal dus ‘grote schoonmaak’ moeten worden uitgevoerd indien je het virus detecteert op je 
computer en op de computers van diegenen waarmee je de laatste tijd per e-mail in contact hebt gestaan, anders 
blijft het een eeuwig durende cirkel. Om het te vinden en te verwijderen: 


klik op start 
vervolgens op zoeken 
kies bestanden of mappen 


ga naar zoeken en kies lokale vaste schijven of ‘C'‘typ op de regel ‘naam’: SULFNBK.EXE 
als het bestand wordt gevonden selecteer het, doch open het niet 


klik op bewerken 

vervolgens op alles selecteren 

klik op bestand 

vervolgens op verwijderen. 

sluit het venster en leeg de prullenbak. 


Na deze operatie zit je in principe goed. Maar je hebt waarschijnlijk zelf mensen besmet aan wie je e-mails hebt ver- 
zonden. Mocht je dus het virus hebben waarschuw ze dan, zodat ook zij hun schijven kunnen opschonen. 


Een hoax: virtuele kletskoek! 
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Nederlands 


Jean koos 
dit dossier. 


IN DIT DOSSIER VERTELLEN WE JE ALLES 
OVER VIRUSSEN EN HOE JE ZE BUITEN HOUDT! 


voorbeeld nog steeds de SULFNBK-hoax die je 
waarschuwt voor een virus dat zich mogelijk al 
op je pc heeft genesteld, meer bepaald in de 
vorm van het bestand sulfnbk.exe. Dat is ech- 
ter een onschuldig systeembestand van be- 
paalde Windows-versies en wis je dus maar be- 
ter niet! Op [ wwvw.vmyths.com | vind je een 
heel uitgebreid overzicht van bekende hoaxes. 
In Clickx 34 vind je meer info over hoaxes. 


Aanvalleeuuuh! 


Virusmakers krijgen hun kick dan wel voor- 
al van een snelle verspreiding van hun cre- 
aturen, blijkbaar is er in zo’n zieke geest nog 
ruimte voor wat extra geinigheid… Niet zel- 
den zit er in zo’n virus ook een incubatiepe- 
riode ingebouwd: tijdens deze sluimertijd doet 
het virus niks anders dan zich verspreiden, 
maar zodra die periode voorbij is, schiet er 
een destructievere module in dat virus wak- 
ker. Wat het virus dan precies met je compu- 
ter uitspookt, hangt vooral af van hoe perfide 
zijn maker wel was: bepaalde bestanden wor- 
den onherroepelijk gewist, gegevens in je 
spreadsheets worden aangepast, je harde 
schijf wordt zomaar even geformatteerd, enz… 
Zonder enige vorm van bescherming ben je 
dus overgeleverd aan de willekeur van de vi- 
rusmaker! 

Een virusachtig fenomeen waarin ook zo’n 
‘verborgen agenda’ zit ingebouwd, is het Tro- 
jaanse paard, dat zich vaak verstopt achter een 
of ander nuttig programma dat je bijvoorbeeld 
hebt gedownload van het net of als e-mailbij- 
lage hebt ontvangen. Op het eerste zicht 
schuilt er geen kwaad in het programma en 
kan je het zelfs nuttig inzetten. Maar zonder 
dat je het weet, doet het ook nog iets anders. 
Heel typisch zet het bijvoorbeeld bepaalde 
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(a) Virus Information Center 


Virus Encyclopedia 


Search 


on To search | 


© Search For All Words Entered ®& jr Any Word Entered 


© search All Data (inclu 


® Search Names/ 


eerste generaties virussen staken nogal sim- 
pel in elkaar: zo bevatte elk virus een vast by- 
tepatroon — een soort DNA-string zeg maar — 
dat in elke infectie van dat virus terugkeerde. 
Voor een antiviruspakket was het dan een 
koud kunstje om zo’n besmetting te detecte- 
ren: het hoefde dat bytepatroon of virus- 
handtekening dan maar in zijn databanken te 
hebben om de dader te ontmaskeren. 


Ee LiveUpdate 
LiveUpdate is searching for updates to the following 
Symantec products: 

& LiveReg 

Ei Livellpdate 

& Norton AntiVirus 2002 

1 Norten Antiirus Virusdefinities 

1 Nortan Utilities 2002 

& ScriptBlocking 

& Software-updates voor verzending naar SARC 

Tp 
< > 


This could take a few minutes. Please be patient. 


Processing update list 


Wil je overigens zelf zo’n onschuldig (!) virus 
in elkaar knutselen, dan hoef je alleen maar 
de volgende tekst zonder spaties in je Klad- 
blok in te tikken: 


j; men) (tee 


Optional Search Option 


All Categories v 


Submit Search ) 


ER 


94 items found. Showing items 1 to 75. 


[z1[2] 


80.000 exemplaren… een flinke encyclopedie! 


poorten van je computer open zodat de ma- 
ker van het paard via het internet contact krijgt 
met je computer en die voor allerlei doelein- 
den kan misbruiken. Zo kan hij bijvoorbeeld 
delicate gegevens — is je kredietkaartnummer 
delicaat genoeg? — aan je harde schijf ontfut- 
selen, of op een bepaald moment alle pc's 
waarop zijn Trojaans paard is geïnstalleerd, 
de opdracht geven één of andere (bekende) 
website met informatieverzoeken te bombar- 
deren. Die webserver kan het verkeer niet lan- 
ger slikken en geeft er dan maar de brui aan. 
Zo’n georchestreerde aanval — waaraan jij dus 
ongewild hebt meegewerkt! — noemen we een 
DDoS (Distributed Denial of Service Attack). 
Je merkt het: er is een heel oerwoud vol venij- 
nige beestjes — en intussen zijn er al zo’n 
80.000 geteld, varianten inclusief. Heb je daar 
een gezonde interesse voor, dan kan je op het 
net verschillende virusencyclopedieën raad- 
plegen. Eén van de bekendste is het Virus In- 
formation Center [ www3.ca.com/virusin- 
fo/Encyclopedia.asp?MODE=BROWSE |, waar- 
in je kan bladeren of opzoekingen verrichten 
in een uitgebreid alfabetisch overzicht van 
hoaxes, virussen, wormen en Trojans. Ook Sy- 
mantec laat zich niet onbetuigd, en komt met 
een eigen viruslijst op [ http://securityrespon- 
se.symantec.com/avcenter/vinfodb.html |. 


Steeds venijniger… 


Er komen niet alleen steeds méér virussen, ze 
worden ook intelligenter en complexer, en zijn 
daardoor meteen moeilijker te detecteren. De 


X5O!PSCAP[ 4\PZX54 (P“)7CC)7}SEI- 
CAR-STANDARD-ANTIVIRUS-TEST- 
FILE! $SH+H* 


Dit bestandje sla je dan bijvoorbeeld op onder 
de naam ‘“testvirus.com’. Hou er wel rekening 
mee dat je antivirusprogramma alarm slaat zo- 
dra je op dit bestand dubbelklikt! De virus- 
handtekening van dit bekende testvirus hoort 
namelijk in de databank van elke antiviruspak- 
ket te zitten. 

Virusmakers moesten dus met lede ogen aan- 
zien hoe hun product snel door antiviruspro- 
gramma’s werd gedetecteerd. Al snel bedach- 
ten ze daarom allerlei technieken om hun gees- 
teskind beter te camoufleren: de viruscode werd 
bijvoorbeeld versleuteld of zag er bij elke infec- 
tie telkens netjes anders uit (polymorf), zodat 
het heel moeilijk werd naar een vast bytepatroon 
te speuren! Dergelijke stealth-virussen zijn ove- 
rigens nu meer regel dan uitzondering en ze 
maken het de antiviruspakketten knap lastig. 
Maar virussen zijn ook nog op een ander niveau 
geëvolueerd… Experts hebben het over ‘ge- 
combineerde bedreigingen’ (Blended Threats). 
Dat zijn virusachtige ondingen waarbij de schei- 
dingslijn tussen hacks (inbraakpogingen), wor- 
men, virussen en Trojaanse paarden vervaagt. 
Een typisch voorbeeld hiervan is het bekende 
Klez-virus. Dat is weliswaar een worm die zich 
via e-mail verspreidt, maar in de bijlage van het 
virus zit ook nog zo’n polymorf virus verborgen 
dat je lokale bestanden kan besmetten. Tegelijk 
zet de worm ongemerkt een eigen mailserver (de 
vaktaal vind je in het midden van dit nummer) 
op, speurt hij naarstig naar e-mailadressen op 
je schijf, en verstuurt hij zichzelf vervolgens door 


Niet van gisteren toch, je antiviruspakket? 


meeste pakketten maken dan ook gebruik van 
complementaire methodes zoals heuristische 
scans. Daarbij wordt elk potentieel virusbe- 
stand in een beschermde omgeving uitgevoerd 
en gaat het antiviruspakket meteen na of er 
zich in de programmacode geen verdachte in- 
structies bevinden, zoals ‘formatteer even die 
partitie’. Met wat geluk weten antiviruspro- 
gramma’s op die manier zelfs onbekende vi- 
russen te strikken! 


In het verweer! 


Er zijn natuurlijk een flink aantal van die pak- 
ketten op de markt, zoals je al kon lezen in 
onze test van antivirussoftware in Clickx 34. 
Zo is er de bekende Norton AntiVirus 2003 
(gratis proefversie op [ www.symantec.com/ 
nav/nav_9xnt |, McAfee VirusScan 7.0 [ www. 
mcafee.com/myapps/vs7 |, en F-Secure Anti- 
Virus (gratis proefversie op | www.f-secure. 
com/download-purchase/list.shtml |). Hele- 
maal gratis kan ook nog, tenminste voor per- 
soonlijk gebruik: AVG 6.0 [ www.grisoft. 
com | en relatieve nieuwkomer Avast! Antivi- 
rus Home Edition 4 [ www.avast.com/avast4 |. 
Al deze producten scoren behoorlijk in diverse 
tests, maar heel belangrijk blijft evenwel dat 
je steeds over de meest recente versies beschikt 
én dat je de virusdefinities waarvan het pak- 
ket zich bedient, up-to-date weet te houden. 
De meeste pakketten zorgen daar trouwens 
automatisch zelf voor, tenminste als je over 
een semi-permanente internetverbinding als 
kabel of ADSL beschikt. Zo goed als alle anti- 
viruspakketten nemen ook volautomatisch in- 
en uitgaande e-mail voor hun rekening, en zo 


naar al die mailboxen. Een ander voorbeeld is mmm 
het notoire Nimda-virus dat zich langs twee ka- | sen 

nalen tegelijk kon verspreiden: enerzijds viae- vorm 

mail, anderzijds nestelde het zich op webser- 
vers zodat je ook via je browser geïnfecteerd kon 
worden zodra je een webpagina op zo’n server 
bezocht. 

Je begrijpt dus dat antivirusmakers hun han- | ove 

den vol hebben met al die vandaalsoftware! 
Zo volstaat het speuren naar vast herkenbare pe bloedhond van Norton: heuristische speur- 
virushandtekeningen al lang niet meerende neus. 


Norton AntiVirus 


Viruswaarschu\ 


Bloodhound * Help 


_Seipts blokkeren 


Le Handrnalig scannen 


r\N Morton AntiVirus heeft een virus aangetroffen op uw computer. Uw systeem beschermen tegen nieuwe en onbekende virussen 


PW ploodhound-zoekinstellingen inschakelen (wanbevolen) 
Uitzondenngen 


Objectnaam: C:\Documents and Settings\Toon\Bureaublad\eicar com *_arirnale beveiliging 


Virusnaam: EICAR Test String 


© _Slangaardbeveiliging (aanbevoren) 
C_ minimale beremging 
Ondernomen actie: Kan dit bestand niet repareren. 


Je eigen virus wordt wel onderschept, maar hoe 
zit het met de rest? 
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Scan My PC 


Scanning memory... 


LATEST 


Disk80\Partition0 (MBR) 
Disk80\Partition1 (HPFS/NTFS) 
Disk81\Partition0 (MBR) 


subscription 


RV Engine: 


sÀ scannin 


Last Update: 


Even tussendoor, een gratis on line scanronde. 


hoort het ook! De meeste virussen en wormen 
verspreiden zich immers vooral langs die weg. 
Ook al is je antivirusprogramma continu op 
de achtergrond actief (on-access), toch doe je 
er goed aan je ganse systeem af en toe ook 
eens grondig uit te borstelen. Een dergelijke 
antivirusoperatie noemen we wel ‘on-de- 
mand’, en elk goed antiviruspakket laat je op 
elk moment de opdracht tot zo’n grote kuis 
geven. Sommige gebruikers geraken echter 
zo paranoïde dat ze twee antivirusprogram- 
ma’s tegelijk installeren en die alles in de ga- 
ten laten houden. Geen goed idee overigens, 
want niet zelden zitten twee van dergelijke vi- 
rusjagers elkaar in de haren, zodat hun wer- 
king onbetrouwbaar wordt. 

Je doet er dan beter aan je vaste antiviruspro- 
gramma desnoods tijdelijk even uit te scha- 
kelen en een gratis on line scanronde op je 
systeem los te laten. Voordeel is dat zo’n on 
line scan tenminste up-to-date is. Op 
[ www.ravantivirus.com/scan | vind je zo’n 
scanmodule waarmee je je hele pc of selectief 
bepaalde mappen, bestanden of e-mailbe- 
richtjes kan laten scannen. Wil je geïnfecteerde 
bestanden laten verwijderen, vergeet dan niet 
een vinkje te plaatsen naast de optie Auto- 
clean! Voor andere on line scans kan je terecht 
bij Trend Micro [ http://housecall.antivi- 
rus.com ] en bij Symantec [ http://security.sy- 
mantec.com |. Minpuntje van deze laatste is 
wel dat je niet selectief op bepaalde onderde- 
len kan laten scannen. 

Ten slotte, hoor je van een of ander virus dat 
plots de kop heeft opgestoken, dan kan het 


Scan a Folder 


dk “| Inside Archives WW] Unpack executables | Smart Scan 


Skipping: C:\Docu. „ettings\Ternporary Internet Files\Content. IES\WXMVOTU7\ dubiblue3[ 


Disk81\Partition1 (DOS 3,3+ Extended Partition) 


Disk81\Partition2 (WIN95 32-bit FAT) 
Disk82\Partition0 (MBR) 
Disk82\Partition1 (DOS 3,31+ 16-bit FAT } 


Virus Signatures: 


Powered by RAV Engine 


Scan a File Scan Email Scan My Docs 


Status 


8.9 nà 
77663 us 


Wednesday, February 05, 2003 11:34:47 Stop Scan 


nooit kwaad eens langs te lopen bij de sites 
van bekende virusjagers als Symantec of 
McAfee. Niet zelden plaatsen die op hun 
webstek snel een remedie tegen één welbe- 
paald virus. 


Gezond boerenverstand 


Een up-to-date antiviruspakket hoort dus 
centraal te staan in je verdedigingsstrategie. 
Dat neemt niet weg dat je ook andere voor- 


zorgsmaatregelen hoort te nemen. Heel wat 
virussen maken namelijk misbruik van be- 
paalde veiligheidslekken in besturingssys- 
temen als Windows of in populaire pro- 
gramma's als Outlook (Express) en Internet 
Explorer. De producenten van die software 
proberen de meeste veiligheidslekken te 
dichten door het publiceren van allerlei pro- 
grammaatjes, patches genoemd. Die kan je 
dan gratis downloaden op hun websites. 
Werk je met Windows, laat dan zeker niet 
na geregeld een bezoek te brengen aan 
[ http://windowsupdate.microsoft.com |J: 
hier tref je namelijk frequent updates en 
patches aan die de bekendste veiligheids- 
lekken (horen te) dichten. Ben je bang dat 
één of ander Trojaans paard vanop je pc hei- 
melijk gegevens naar de maker doorsluist, 
dan kan je ook nog een persoonlijke firewall 
installeren — ook al is die er in de eerste 
plaats op gericht hackers buiten te houden. 
Een heel populair voorbeeld is ZoneAlarm, 
waarvan je een gratis versie kan sponzen op 
[ www.zonelabs.com |. 
Ten slotte, geen enkele antivirusstrategie 
kan zonder een flinke dosis gezond boe- 
renverstand! Ontvang je bijvoorbeeld een 
mailtje-met-bijlage van een onbekende, open 
het dan niet en kieper het bij voorkeur me- 
teen in de vuilnismand. Zelfs met bijlagen 
van kennissen hoor je nog voorzichtig te 
zijn. want wie weet heeft Klez op dat mo- 
ment al lelijk huis gehouden op hun com- 
putersysteem! Een gewaarschuwd man… 
— Toon Van Daele — 


ONWILLIGE GASTHEREN … 


Een klassiek virus heeft normaal een stukje uitvoerbare programmacode nodig waar- 
aan het zich kan hechten, net als een parasiet. De oudste virussen nestelden zich nog- 
al eens op een speciale plaats van een harde schijf of diskette. Dat is de zogenaam- 
de bootsector, en de instructies die daarop terechtkomen worden bij (een poging tot) 
het opstarten van die schijf automatisch uitgevoerd. Andere virussen richten hun pij- 
len vooral op uitvoerbare bestanden als de gekende ‚com en „exe-bestanden. Voer- 
de je zo'n bestand uit, dan greep meteen ook het parasitaire virus zijn kans. Van daar 
was het eigenlijk maar een kleine sprong naar de zogenaamde macro-virussen. Die 
infecteren niet zozeer een uitvoerbaar bestand, dan wel een gegevensbestand van 


start eerst 
hier! start hier 


een Office-programma als 
Excel of Word. Zodra zo’n 
besmet bestand in de Offi- 
ce-applicatie wordt ingela- 
den, worden meteen ook 
de instructies uitgevoerd 
die het virus in dat bestand 
had achtergelaten. 


Een parasitair virus bijt zich graag in exe-bestanden vast. 
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